Comprendre les Rôles et Responsabilités de l’équipe SOC
Il est crucial de créer un centre d’opérations de sécurité (SOC) efficace pour les organisations de toutes tailles. Tout comme les entreprises elles-mêmes, chaque équipe de sécurité est différente.
Les entreprises qui reconnaissent l’importance de la cybersécurité investiront le montant nécessaire pour s’assurer que leurs données et systèmes restent en sécurité et que leur équipe SOC dispose des ressources nécessaires pour faire face aux menaces.
Les rôles et responsabilités du centre des opérations de sécurité sont assez simples, mais distincts dans leurs exigences.
Dans l’ensemble, les organisations ont eu tendance à sous-évaluer la cybersécurité. Les équipes des opérations de sécurité sont confrontées à une myriade de défis : elles sont souvent en sous–effectif, surchargées de travail et reçoivent peu de visibilité de la part de la haute direction.
TÉLÉCHARGEMENT GRATUIT: GUIDE DU MARCHÉ GARTNER POUR LES SOLUTIONS D’ORCHESTRATION, D’AUTOMATISATION ET DE RÉPONSE EN MATIÈRE DE SÉCURITÉ
Si ces entreprises savaient ce qui était en jeu, vous pouvez parier qu’elles seraient prêtes à investir davantage dans leur SOC et les membres de leur équipe. Après les opérations de sécurité, les meilleures pratiques aideront les entreprises à se protéger et à fournir un meilleur environnement aux équipes SOC. Avec de nouvelles attaques très médiatisées qui font chaque jour la une des journaux, les organisations commencent à souligner l’importance de la cybersécurité et le centre des opérations de sécurité devient un point focal précieux.
Bien que toutes les équipes SOC puissent différer un peu les unes des autres, la plupart ont à peu près les mêmes rôles et responsabilités. La construction d’un SOC efficace nécessite de la prévoyance et un plan d’action exécutable. Jetons un coup d’œil aux rôles et responsabilités de base de chaque équipe SOC.
Rôles et responsabilités du Centre des opérations de sécurité
L’équipe SOC moyenne a de nombreuses responsabilités qu’elle est censée gérer dans un certain nombre de rôles. En règle générale, les équipes SOC occupent des postes qui couvrent deux responsabilités de base – la maintenance des outils de surveillance de la sécurité et l’enquête sur les activités suspectes.
Maintenir les outils de surveillance de la sécurité
Pour sécuriser et surveiller efficacement un système, il existe de nombreux outils que l’équipe doit maintenir et mettre à jour régulièrement. Sans outils appropriés, il est impossible de sécuriser efficacement les systèmes et les réseaux. Les rôles et responsabilités du centre des opérations de sécurité exigent que les membres de l’équipe maintiennent les outils utilisés tout au long de tous les processus de sécurité. Cela inclut la collecte de données. Ces données doivent s’étendre à tous les systèmes du réseau, y compris l’infrastructure cloud. Ces journaux doivent ensuite être transmis à un SIEM et à un outil d’analyse des journaux. Une seule rupture dans la chaîne de circulation de l’information pourrait avoir de graves conséquences.
Enquêter sur les activités suspectes
À l’aide des outils mentionnés ci-dessus, l’équipe SOC est chargée d’enquêter sur les activités suspectes et potentiellement malveillantes au sein des réseaux et des systèmes. En règle générale, votre SIEM ou votre logiciel d’analyse les informera des problèmes potentiels en émettant des alertes. Votre équipe d’analystes examine ensuite les alertes, effectue un triage et détermine l’étendue de la menace. La combinaison d’outils appropriés et d’expertise sont les ingrédients nécessaires à la réussite d’une équipe SOC.
Rôles et postes du Centre des opérations de sécurité
Bien que les rôles de n’importe quelle entreprise puissent avoir des noms différents, toutes les organisations ont des responsabilités similaires en matière de cybersécurité. Voici les rôles les plus courants au sein d’une équipe SOC et les responsabilités individuelles associées à chaque rôle.
Analyste de sécurité
Les analystes de sécurité sont généralement les premiers intervenants en cas d’incident. Ce sont les soldats en première ligne qui luttent contre les cyberattaques et analysent les menaces. En bref, leur travail consiste à détecter les menaces, à enquêter sur ces menaces et à y répondre en temps opportun. De plus, les analystes peuvent avoir des responsabilités qui impliquent la mise en œuvre de mesures de sécurité dictées par la direction. Ils peuvent également jouer un rôle dans les plans de reprise après sinistre organisationnels. Dans certaines organisations, les analystes de la sécurité sont censés être sur appel pour répondre aux incidents qui surviennent en dehors des heures d’ouverture.
Ingénieur en sécurité
Les ingénieurs en sécurité sont responsables de la maintenance des outils, de la recommandation de nouveaux outils et de la mise à jour des systèmes. De nombreux ingénieurs en sécurité sont spécialisés dans les plates-formes SIEM. Les ingénieurs en sécurité sont responsables de la construction de l’architecture et des systèmes de sécurité. Ils travaillent généralement avec les équipes des opérations de développement pour s’assurer que les systèmes sont à jour. De plus, les ingénieurs en sécurité documentent les exigences, les procédures et les protocoles pour s’assurer que les autres utilisateurs disposent des bonnes ressources.
Responsable de la sécurité
Un responsable de la sécurité au sein d’une équipe SOC est responsable de la supervision des opérations dans leur ensemble. Ils sont en charge de la gestion des membres de l’équipe et de la coordination avec les ingénieurs en sécurité. Les responsables de la sécurité sont responsables de la création de politiques et de protocoles d’embauche et de la création de nouveaux processus. Ils aident également les équipes de développement à définir la portée de nouveaux projets de développement de la sécurité. Ils servent de patron direct à tous les membres de l’équipe SOC.
Directeur de la Sécurité de l’information
Le directeur de la sécurité de l’information (RSSI) est chargé de définir et de décrire les opérations de sécurité de l’organisation. Ils sont le dernier mot sur la stratégie, les politiques et les procédures impliquées dans tous les aspects de la cybersécurité au sein de l’organisation. De plus, ils peuvent également être responsables de la gestion de la conformité.
Les grandes entreprises peuvent avoir des équipes entières dédiées à cette tâche. En règle générale, un RSSI relève directement du PDG et est en contact direct avec l’ensemble de la haute direction. Les postes de RSSI dépassent largement les compétences techniques et nécessitent également de communiquer des problèmes compliqués à la haute direction qui peut ne pas être bien informée en matière technique.
Rôles supplémentaires
Souvent, les grandes organisations de sécurité ont des rôles tels que directeur de la réponse aux incidents et/ ou directeur du renseignement sur les menaces. Le directeur de la réponse aux incidents ou le gestionnaire de la réponse aux incidents supervise et hiérarchise simplement les étapes exploitables lors de la détection d’un incident. Cette personne est seule responsable de transmettre les exigences uniques des incidents de haute gravité au reste de l’entreprise.
Le responsable de la réponse aux incidents supervise et hiérarchise les actions lors de la détection, de l’analyse et du confinement d’un incident. Ils sont également chargés de transmettre les exigences particulières des incidents de grande gravité au reste de l’entreprise.
Conclusion
La constitution d’une équipe SOC efficace est impérative pour les organisations de toutes tailles. Il est essentiel de vous assurer que vous pouvez détecter, enquêter et remédier aux incidents de sécurité. Compte tenu des rôles et de la complexité au sein d’un SOC, il est extrêmement essentiel de fournir une visibilité globale. Il est également important de garder à l’esprit qu’un SOC solide est 24h / 24 et 7j / 7 et qu’il est indispensable de gérer le transfert du flux de travail de manière transparente et prudente. La définition des politiques et des procédures qui régissent les personnes qui font partie de cette équipe devrait être un processus continu pour mieux servir l’équipe et l’organisation dans son ensemble. La définition des rôles et responsabilités du centre des opérations de sécurité aide les entreprises à établir des priorités et à mieux évaluer leurs besoins.
